Immer neuere fortschrittlichere Techniken dürften einen wettbewerblichen Vorsprung durch die Auswertung von personenbezogenen Daten ermöglichen. Aufgrund der datenschutzrechtlichen Bestimmungen unterliegen diese Verfahren restriktiven Anforderungen, welche von den Unternehmen gewährleistet werden sollten. Hierbei gelten die bestehenden Datenschutzbestimmungen jedoch lediglich dann, wenn ein sogenannter „Personenbezug“ vorhanden ist. Besteht kein Personenbezug, so sind auch die datenschutzrechtlichen Bestimmungen nicht einschlägig. Verfahren, welche einen Personenbezug vermeiden oder zumindest erschweren, sind die sogenannte Anonymisierung oder Pseudonymisierung der Daten. Eine Anonymisierung oder Pseudonymisierung der Daten kann jedoch unter bestimmten Kriterien aufgehoben werden.
Pseudonymisierung / Anonymisierung und der Datenschutz
Die Pseudonymisierung wird in Art. 4 Nr. 5 Datenschutz-Grundverordnung (DS-GVO) geregelt. Demnach ist Pseudonymisierung:
„[…] die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehen zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden; […]“
Ein Beispiel hierfür dürfte die Nutzung einer E-Mail-Adresse mit der Bezeichnung „biene15@baum-mail.de“ oder die Verwendung einer Kundennummer sein. Bei der Pseudonymisierung spielt es vor allem eine Rolle, dass es möglich bleibt mit Zusatzinformationen – wie beispielsweise dem Namen – die Daten der betroffenen Person direkt zuordnen zu können.
Die Anonymisierung wiederum findet sich im Erwägungsgrund 26 der Datenschutz-Grundverordnung. Hierbei wird von einer Methode ausgegangen, welche eingesetzt wird, um Daten einer Person nicht oder nicht mehr zuordnen zu können. Ein Ausschluss der Zuordenbarkeit der Daten bei einer Anonymisierung ist zwar deren Hauptkriterium, dennoch spielt bei der Bewertung, ob eine Anonymisierung vorliegt, die Wahrscheinlichkeit einer möglichen Zuordnung eine ausschlaggebende Rolle. Kann erst mit einem unverhältnismäßig hohen Aufwand an Zeit, Kosten und Arbeitskraft die Zuweisung der Daten zu der konkreten Person erfolgen, so dürfte auch von dem Vorliegen einer Anonymisierung ausgegangen werden.
Unterscheidung von Pseudonymisierung und Anonymisierung
Den meisten Leuten fällt eine Abgrenzung der Begriffe Pseudonymisierung und Anonymisierung sehr schwer. Für die Abgrenzung der Begrifflichkeiten ist unvorteilhaft und dürfte ebenso Verwirrung erzeugen, dass beide Begrifflichkeiten in der Praxis meist „in einen Topf“ geworfen werden. Bei einer Pseudonymisierung ist der Betroffene nicht unbekannt. Der Bertoffene trägt lediglich einen „Deckmantel“ (z.B. Kundennummer) unter dem er einem bestimmten Personenkreis bekannt ist. Bei einer Anonymisierung ist der Betroffene im Grunde nicht identifizierbar, da seine Daten so verfremdet werden, dass ein Rückschluss auf ihn ohne weiteres nicht möglich ist.
Einrichtung einer Pseudonymisierung / Anonymisierung
Die Pseudonymisierung sowie Anonymisierung von Daten kann auf unterschiedlichste Weise eingerichtet werden. Bei einer Pseudonymisierung kann unter anderem die betroffene Person selbst ein Pseudonym nutzen, z. B. eine Nutzer-ID. Ebenso kann der Verantwortliche dem bekannten Betroffenen ein Pseudonym, z. B. mit einer Kennziffer in Form einer Kundennummer, zuweisen. Es besteht jedoch auch die Möglichkeit einen vertrauenswürdigen Dritten, beispielsweise eine Zertifizierungsstelle oder einen Datentreuhändler zu beauftragen, um dem Betroffenen ein Pseudonym zuzuweisen. Eine Anonymisierung kann folglich wie eine Pseudonymisierung ebenfalls durch technische Maßnahmen von interner oder externer Seite erreicht werden.
Vorteile der Pseudonymisierung / Anonymisierung
Die Pseudonymisierung und Anonymisierung haben die wichtige Funktion, eine vorurteilslose Kommunikation gewährleisten zu können, da der Betroffene ohne sich selbst offenbaren zu müssen, handeln oder auch Meinungen äußern kann. Es kann folglich eine Meinungsäußerung ohne sozialen Zwang, ein freies Wahlrecht oder die Möglichkeit einer freien Versammlung garantiert werden. Demnach dürfte die Pseudonymisierung sowie Anonymisierung als ein Mechanismus betrachtet werden, welcher die Grundfreiheiten des Einzelnen wahrt.
Für Unternehmen hat die Pseudonymisierung sowie Anonymisierung in den meisten Fällen einen anderen Anreiz. Unternehmen versprechen sich mit diesen Mechanismen den Anforderungen der DS-GVO zu entgehen (durch Anonymisierung) oder abzuschwächen (durch Pseudonymisierung). Werden Daten pseudo- oder anonymisiert, sind diese – wie bereits erwähnt – nicht ohne Aufwand der dahinterstehenden Person zuordenbar. Bei einer Anonymisierung geht dies soweit, dass von einem fehlenden Personenbezug ausgegangen werden dürfte. Betrachtet man die Regelungen der DS-GVO – welche den Anwendungsbereich des Gesetzes bestimmen – fällt auf, dass lediglich von der Verarbeitung von personenbezogenen Daten gesprochen wird. Damit dürfte eine Anwendung der DS-GVO entfallen, solange kein Personenbezug besteht. Die Pseudonymisierung hat den Vorteil, dass diese eine Identifikation des Betroffenen nicht ohne Aufwand ermöglicht und die DS-GVO deshalb für pseudonymiserte Daten einen niedrigeren Standard vorsieht, als bei personenbezogenen Daten. Folglich kann bei einer datenschutzrechtlichen Interessensabwägung eine Pseudonymisierung dazu beitragen, dass zu Gunsten des Verantwortlichen entschieden wird.
Gründe für das Eintreten eines Personenbezugs
Die Möglichkeit eines späteren bzw. nachträglichen Personenbezugs kann jedoch nie ausgeschlossen werden. Insbesondere die Weiterentwicklung von Technik, welche ermöglichen dürfte, dass immer mehr Daten gesammelt und ausgewertet werden können, könnte zu einer ungewollten bzw. gewollten Aufhebung der Pseudonymisierung sowie Anonymisierung beitragen. Eine Aufdeckung kann dabei schlagartig aber auch schleichend erfolgen, was in den nächsten Abschnitten näher beleuchtet wird.
Schlagartiger Personenbezug
Ein schlagartiger Personenbezug kann schneller eintreten, als es Unternehmen lieb ist. Beauftragt man einen vertrauenswürdigen Dritten (z. B. einen Datentreuhändler oder eine Zertifizierungsstelle) sollte auch das Szenario in Betracht gezogen werden, dass diese Vertrauensperson Daten versehentlich oder auch absichtlich veröffentlicht, wodurch ein Personenbezug anonymer oder pseudonymisierter Daten hervorgerufen werden dürfte. Ein Personenbezug der Daten wäre somit augenblicklich für alle Stellen ersichtlich. Eine weitere Möglichkeit eines schlagartigen Personenbezugs besteht dann, wenn zwei eigentlich getrennt agierende Verarbeiter über ein Netz verbunden sind. Hierbei müssten die Verarbeiter über Daten mit identifizierbaren Merkmalen verfügen, welche getrennt voneinander keinen Personenbezug ermöglichen, jedoch diesen in Verbindung realisieren können. Es kann aber auch vorkommen, dass der Betroffene selbst seine Identität preisgibt, indem er sein Auskunftsrecht nach Art. 15 DS-GVO nutzt, womit ggf. direkt eine Zuweisung der Daten zu dem Betroffenen erfolgen könnte.
Schleichender Personenbezug
Wesentlich problematischer (da in der Regel meist unerkannt) ist der schleichende Personenbezug. Hierbei ist der Ausgangspunkt meist dieser, dass der Verantwortliche zum gegenwärtigen Zeitpunkt keine ausreichenden Mittel vorliegen hat (heißt ein erheblicher Aufwand an Zeit, Geld und Arbeitsaufwand erforderlich sein dürfte), um die gesammelten Daten einer konkreten Person zuordnen zu können. Die Identifizierbarkeit der Person kann sich jedoch zum einen durch die Erfassung von immer mehr Daten (Big Data) oder durch den wissenschaftlichen Fortschritt – indem neue Technik auf dem Markt gebracht wird, die die Identifizierung des Betroffenen mit geringeren Aufwand ermöglicht – zukünftig einstellen.
Welche Maßnahmen können Unternehmen ergreifen?
Unternehmen, welche personenbezogene Daten erheben und im Nachhinein anonymisieren oder pseudonymisieren, dürften einem zukünftigen Personenbezug mit der Einholung von Einwilligungen für die Verarbeitung der Daten entgegentreten können. Somit wäre vorerst eine Nutzung der Daten weiterhin möglich, solange der Betroffene der Verarbeitung nicht wiederspricht. Werden pseudonymisierte oder anonymisierte Daten von vornherein erhoben, so dürfte die Möglichkeit der Einwilligung nicht bestehen, da gerade das Ziel der Pseudonymisierung bzw. Anonymisierung ist, dass der Betroffene unbekannt bleibt. Ein sinnvolles Hilfsmittel könnte hierbei eine Selbstverpflichtung des Verantwortlichen darstellen. Dabei verpflichtet sich der Verantwortliche die personenbezogenen Daten nicht zu re-identifizieren oder durch das Anreichern von Daten einen möglichen Personenbezug herzustellen. Eine Selbstverpflichtung kann dabei einseitig oder durch eine nach Art. 40 DS-GVO bindende sowie sanktionsbewertete Verhaltensregel erfolgen. Eine solche Regelung hat den Nutzen, dass Daten die als personenbezogene Daten gelten (wie z. B. IP-Adressen), nicht als personenbezogene Daten qualifiziert werden dürften. Ebenso kann eine solche Regelung einen Vorteil bieten, im Hinblick sogenannter Abwägungsentscheidungen.
Des Weiteren dürfte es denkbar sein, dass durch den Einsatz von technischen Maßnahmen sowie regelmäßiger Überprüfung der Verfahren eine frühzeitige Erkennung eines Personenbezugs ermittelt und entsprechende Schritte dagegen eingeleitet werden können.
Fazit
Aufgrund steigender Datenmengen sowie neuer Analysemethoden dürfte zukünftig eine Pseudonymisierung bzw. Anonymisierung auf Dauer nicht in der gleichen Intensität garantiert werden können, wie es früher der Fall gewesen sein dürfte. Verantwortliche stellt dies vor weitreichende Probleme. Vor allem Unternehmen, welche mit Big Data-Anwendungen agieren, sollten hinreichende technische sowie rechtliche Vorkehrungen treffen, um dem Persönlichkeitsschutz der betroffenen Person gerecht werden zu können.